概要
Microsoftは、中国を拠点とする金銭目的のサイバー犯罪グループ「Storm-1175」がMedusaランサムウェアのアフィリエイトとして活動していることを特定した。このグループは既知の脆弱性(nデイ)とゼロデイ脆弱性を組み合わせた高速攻撃を展開しており、初期侵入からデータ窃取・ランサムウェア展開までを24時間以内に完了させるケースも確認されている。標的はオーストラリア、英国、米国における医療・教育・専門サービス・金融分野に及ぶ。
Microsoftは同グループを「境界面の公開資産の特定において高い作戦テンポと習熟度を持つ」と評価している。CISAも2025年3月に、Medusaランサムウェア攻撃が米国内300以上の重要インフラ組織に影響を与えたと報告しており、Storm-1175の活動はその一端を担っているとみられる。
技術的な詳細
Storm-1175は10製品にわたる16以上の脆弱性を悪用しており、主な対象はGoAnywhere MFT(CVE-2025-10035、パッチ公開1週間前に悪用)、SmarterMail(CVE-2026-23760、認証バイパスのゼロデイ)、Microsoft Exchange(CVE-2023-21529)、Ivanti Connect/Policy Secure(CVE-2023-46805、CVE-2024-21887)、ConnectWise ScreenConnect(CVE-2024-1709、CVE-2024-1708)、JetBrains TeamCity(CVE-2024-27198、CVE-2024-27199)、SimpleHelp(CVE-2024-57726〜57728)、CrushFTP(CVE-2025-31161)、BeyondTrust(CVE-2026-1731)などである。
攻撃チェーンは、まず境界面に公開されたサービスへの侵入から始まり、その後に永続的なユーザーアカウントの作成、リモート監視・管理(RMM)ツールの展開、資格情報の収集、セキュリティソフトの無効化、そしてMedusaランサムウェアの展開とデータ窃取という順序で進行する。
背景と影響
Storm-1175は2024年7月にもBlack BastaおよびAkiraランサムウェアの展開においてVMware ESXiの認証バイパス脆弱性を悪用したことでMicrosoftに注目されていた。ゼロデイ悪用(パッチが存在しない段階での攻撃)能力を持つことは、グループが内部的なエクスプロイト開発リソースを持つか、エクスプロイトブローカーへのアクセスを有している可能性を示唆する。
防御側にとっては、24時間以内という極めて短い対応ウィンドウが大きな課題となる。攻撃チェーンの特徴から、境界面サービスのパッチ適用の優先化、新規アカウント作成やRMMツール展開の監視、短い滞在時間を想定したインシデント対応計画が重要となる。